电子说
01
智能网联汽车信息安全总体发展与突破
随着整车电子电气架构的集中化演进,5G技术的广泛应用,基于V2X的车路云一体化方案的落地实施,汽车网络安全的挑战也将更加复杂和严峻。
与此同时,新一代智能座舱、智能驾驶系统具有强大的信息感知能力,可以实时地采集大量的车辆内外环境数据,而且数据类型众多,覆盖了用户、汽车、周边环境等方方面面,不仅涉及用户的个人隐私,而且能够通过大数据的分析对社会动态、国家政治经济等情况进行精准感知定位。
今天,汽车信息安全不但已经成为智能网联汽车产业健康发展的基本保障,而且还涉及到国家安全与公共秩序安全。
应对如此日益严峻的安全态势,智能网联汽车的安全监测、防御及管理面临了更大的挑战。中国汽车工程学会发布的《2022年度中国汽车技术趋势报告》预测“整车信息安全防护技术将从边界防御向纵深防御体系跃升”。一系列技术的创新和标准的建立必将助力构建一个面向整个智能网联汽车生态系统的安全防护体系。
2022年7月,联合国世界车辆法规协调论坛(简称为UN/WP.29)发布的汽车网络安全法规R155和软件升级法规R156开始在欧盟正式实施,明确要求整车企业的产品开发体系需满足网络安全管理体系(CSMS)的要求,并取得认证,以及所有新车型必须满足该法规,获取了整车形式认证(WVTA)才能在欧盟上市销售。
这是世界汽车发展史上具有里程碑意义的事件。它是第一次将网络安全作为一个汽车生产企业及汽车产品市场准入的强制性法规条件。这一法规的实施对于规划进入欧盟市场的中国汽车企业有着直接的影响,促进这些企业按照R155的法规要求完善内部的产品开发体系流程,将信息安全的设计要求融入产品的开发流程的各个阶段中,并实现车型的开发、测试、运维、报废全生命周期的管理。
截止2022年底,蔚来汽车、路特斯、长城汽车、比亚迪商用车、小鹏汽车等车企已经申请并获得了CSMS认证和车型的VTA认证,为进入欧盟市场做好准备。
△ 截至2023年11月底,国内主机厂 R155 & R156 认证概况 制表:谈思汽车
相应的,为了支撑主机厂的产品认证,汽车零部件供应商也按照国际标准化组织(ISO)和美国汽车工程师学会(SAE)联合发布的《道路车辆信息安全工程》的标准(ISO/SAE 21434)建立自身的产品信息安全设计、开发、验证与监管体系。目前已有华为、德赛西威、地平线、东软睿驰、亿咖通等10多家中国企业获得了ISO/SAE 21434认证。
同时,这一法规的实施也有力地推动了中国汽车信息安全监管及准入法规标准的建设,并为中国汽车信息安全标准法规的建设提供了很好的参考实践。
汽车行业信息安全“强监管”的时代将加速到来。汽车信息安全产业也将由事件驱动步入以标准法规驱动的新发展阶段。这既是挑战,也是产业巨大的发展机遇。
02
国内外智能网联汽车信息安全发展趋势
汽车智能科技的不断升级,使得网联汽车被黑客从云、管、端攻击的概率将继续大幅提升,防御攻击的难度与复杂度也会持续增加,企业与社会面临的汽车信息安全的挑战将越来越严峻。在这样的形势下,2022年智能网联汽车信息安全出现了以下几个发展趋势。
趋势1
汽车信息安全加快进入强监管时代。随着国际汽车信息安全法规的实施,中国多项有关汽车网络安全与数据安全政策与指南的发布,以及《汽车整车信息安全技术要求》等标准的制定和即将发布实施,汽车信息安全强监管的时代将加速到来,这也必将推动整个行业汽车信息安全管理体系能力的快速提升。
趋势2
用户对于汽车网络安全的需求日益强烈。在汽车信息安全问题日益严峻,安全事件频发的情况下,用户在享受智能汽车舒适便捷的同时,对汽车的网络安全需求日益强烈,对个人隐私信息的安全更加关注。这对于汽车企业、车联网信息服务供应商,以及政府监管部门都提出了更高的要求。
趋势3
汽车数据安全面临的挑战愈发严峻。2022年发生的滴滴收到天价罚单和蔚来汽车数据泄露而受到巨额勒索等安全事件突显了数据安全的严重性。汽车数据安全问题获得高度关注。
随着智能汽车与智能交通、智慧城市的不断融合将带来海量的数据采集、存储、传输、交互等,这些都将对数据安全提出更严峻的挑战。《数据安全法》、《汽车数据安全管理若干规定(试行)》等政策法规的落地实施势在必行。
趋势4
网络攻击的频次和复杂程度日益增加。随着汽车网联化的快速普及,以及V2X车路协同的出现,攻击媒介不断增长。并且由于黑客的攻击技术越来越先进,网络攻击的频率和复杂度也在增加,新的攻击向量将不断出现。
这些威胁从对车辆的直接攻击,扩展到针对车队、移动应用和服务,甚至是电动车充电基础设施。新的攻击载体,更容易造成大规模的攻击,从而对广泛的移动资产产生重大危害。因此,需要从更高的、全局的视野来建立安全预警与防御体系。
趋势5
供应链的信息安全保障将成为新热点。智能网联汽车的产业生态复杂,参与者包括整车厂、系统和零部件供应商、基础软件厂商,ICT企业及各类服务提供商等。2022年汽车供应链安全问题也发生了许多变化,恶意行为者正越来越多地针对汽车零部件、软件、甚至电动车充电基础设施的供应商进行勒索软件攻击,导致严重的数据泄露、拒绝服务和生产停顿,影响到整个汽车产业供应链,造成汽车企业的重大损失。
因而,供应链的信息安全保障将成为新热点。汽车OEM将对各类供应商提出更加严格的安全管理要求,包括建立符合法规标准要求的产品信息安全开发流程体系。此外,随着软件定义汽车时代的到来,智能汽车供应链正在重塑,软件安全已逐步成为最大的挑战,软件供应链安全将变得越来越重要。
趋势6
信息安全战线左移。在“降本增效”大环境下,通过“安全左移”以更低成本高效提升汽车信息安全能力成为关键策略之一。面对持续叠加的安全修复成本与代价,如何以更低成本高效解决信息安全问题,并提升原生安全能力,成为当前智能网联产业链共同的关注点。
“安全左移”,即在汽车设计阶段考虑更多安全因素,是降低安全风险、实现低成本高回报的解决办法。随着智能网联汽车信息安全逐渐向DevSecOps转变,采用“安全左移”,建立“动态”安全管理流程和以ISO/SAE 21434标准为基础的产品信息安全开发流程将成为越来越多车企和零部件供应商的选择。
趋势7
车用操作系统的信息安全受到高度关注。在汽车行业进入软件定义时代,以及汽车的电子电气架构集中式演进,汽车基础软件平台(车用操作系统)起着更为关键的作用。它是用于实现汽车系统软硬件解耦,需要支持异构多核高算力与冗余的多样化硬件平台,以及不同网络协议及多种EE架构,同时要满足高实时、多级功能安全与信息安全的要求。
作为汽车应用的基础支撑系统,车用操作系统的信息安全对于保障整车系统的稳定运行起着至关重要的作用。它不仅需要确保自身的系统安全可靠,还要能支撑其所搭载的应用的安全。操作系统的信息安全已经成为智能汽车的安全基石。
趋势8
***替代进程加速发展。硬件安全模块是抵御攻击和保障智能网联汽车安全可控的重要技术手段。在日益复杂的国际环境的背景下,支持国密算法的MCU/SOC芯片以及HSM安全固件的国产化替代将成为主流趋势。国内芯片企业和基础软件供应商纷纷发力,研发自主可控的国产化方案,支撑我国汽车网络信息安全可靠与稳定发展。
趋势9
信息安全与功能安全的融合设计成为重要研究方向。智能网联汽车作为一个集信息网络和物理环境于一体的复杂CPS(Cyber Physical System),信息安全与功能安全相互交织,强相关联。但在现阶段,车辆入侵检测防御系统仅侧重于网络攻击的检测与安全态势的感知呈现,而缺乏信息安全与功能安全的关联分析、联动响应和融合设计,所以它难以有效地识别网络攻击对车辆功能稳定性可能造成的影响,从而及时预警和采取有效的应对措施。
构建基于信息安全威胁和功能安全危害协同联动的智能汽车安全预警防御系统,并且进而实现信息安全与功能安全的融合设计将成为建立汽车全局安全体系的重要研究方向。
趋势10
网络靶场在构建汽车信息安全评测体系中的作用日益凸显。智能网联汽车信息安全评测体系依然缺失,行业亟待建立标准的评测体系。汽车网络靶场能够复现汽车网络及设备环境,提供贴近实战场景的网络攻防演练平台,是网络安全技术和产品测试测评的有效工具,它也将在智能汽车信息安全评测体系的建设中发挥更大的作用。
About
2023 节能与新能源汽车年鉴
本文内容节选自《2023节能与新能源汽车年鉴》,该书是由工业和信息化部装备工业发展中心牵头,联合行业100+权威专家、机构学者及重点企事业单位,历时一年完成编制的图书。
《年鉴》从行业篇、政策篇、城市篇、企业篇等多维度展示中国新能源产业发展现状和趋势,汇集行业发展各阶段的优秀产业成果及创新案例,引领行业持续发展。
谈思实验室作为汽车网络安全行业具有影响力的媒体平台,受邀与中汽创智科技有限公司胡红星博士共同参与了《年鉴》中的“智能网联汽车信息安全”这一章节内容的编制。
围绕“2022年智能网联汽车信息安全总体发展与突破”“国内外政策与标准体系建设”“国内外产业发展趋势”等内容,详述了2022年智能网联汽车信息安全这一产业的发展脉络与未来展望。
- THE END -
审核编辑 黄宇
全部0条评论
快来发表一下你的评论吧 !